Lỗi bảo mật nghiêm trọng được phát hiện gần đây trong Gmail

Gần đây, một hacker trẻ người Pakistan đã phát hiện một lỗi bảo mật nghiêm trọng trong việc Gmail cho phép bạn thiết lập gửi email từ tài khoản khác (send as…), một chức năng khá tiện lợi trong cuộc sống trực tuyến phức tạp hiện nay. Forbes đã có bài viết tóm tắt lỗi này.

Theo đó, lỗi nằm ở hệ thống xác nhận tài khoản email thứ hai của Google. Hacker Ahmed Mehtab đã thử đánh lừa máy chủ Google bằng cách sử dụng tài khoản thứ hai không có thật khi thiết lập chức năng send as rồi yêu cầu Gooogle gửi mã xác nhận. Vì chúng không có thật nên không thể nhận được email từ Google và các email này sẽ được gửi trả lại vào tài khoản của Mehtab. Lỗi nằm ở chỗ trong các email này lại có mã xác nhận mà Mehtab có thể dùng để chứng thực tài khoản giả. Từ đây Mehtab có thể làm chủ các tài khoản Google giả, dùng hộp thư chính của mình gửi email dưới danh nghĩa các tài khoản này.

Điều tương tự cũng xảy ra khi Mehtab thiết lập phần forward trong hộp thư để chuyển tiếp email tới các địa chỉ giả. Email bị trả lại cũng có mã xác nhận giúp cậu dùng nó đánh lừa Google forward email từ hộp thư chính tới các hộp thư giả.

Về mặt kỹ thuật, để thực hiện được các bước trên cần có những điều kiện đặc biệt như: mọi tài khoản đều gửi email qua máy chủ SMTP của Google (gmail.com, googlemail.com, and google.com), tài khoản email được dùng để xác nhận thông tin phải không tồn tại (như trong ví dụ ở trên) hoặc bị khóa (deactivate) hay bị chính kẻ muốn chiếm đoạt khóa nó trước lúc Gmail chuyển tiếp email xác nhận. Điều kiện cuối cùng là rất khó xảy ra vì hacker phải thực hiện rất tốt một cuộc tấn công phishing đánh vào chủ tài khoản, yêu cầu họ tạm khóa email của mình. Người dùng máy tính trình độ trung bình có ý thức về an ninh mạng sẽ không dễ dàng trở thành nạn nhân của những cuộc tấn công kiểu này.

Trong 2 chức năng send as và forward, hacker có thể lợi dụng lỗi ở send as để tạo các tài khoản giả có dạng [email protected] hay [email protected] khi muốn gửi email lừa đảo phishing tới nhiều người dùng khác vì các đuôi này khiến họ dễ nhầm là email chính thức của Google; đó là tiền đề giúp các cuộc tấn công tiếp theo thành công dễ dàng.

Thật may là sau khi Ahmed Mehtab công bố lỗi này trên blog an ninh Security Fuse của mình vào tháng trước (20-10), Google đã vá nó ngay hồi đầu tháng này (1-11) và thưởng cho cậu 500 USD. Giờ đây, khi thử làm lại quy trình của Mehtab ở trên với cả 2 phần send as và forward, bạn sẽ không thấy mã xác thực tài khoản giả trong email được Google gửi trả lại nữa. Vì vậy bạn không cần phải lo lắng về tài khoản Gmail của mình nếu như có thiết lập send as từ tài khoản thứ hai có đuôi gmail.com hay google.com.

 

Be the first to comment

Leave a Reply

Your email address will not be published.


*